Atomic Wallet gehackt: Was wir bisher wissen
Das Atomium in Brüssel. Bild von Carlos ZGZ via flickr.com. Lizenz: Creative Commons
Die Universalwallet Atomic Wallet wurde offenbar gehackt. Viele User berichten von Verlusten, die sich bisher auf mehr als 35 Millionen Dollar summieren. Über die Ursache wird noch gerätselt.
Wenn auf eines Verlass, dann auf die endlose Serie von Hacks. Börsen werden gehackt, Online-Wallets werden gehackt, Smart Contracts werden gehackt. Wieder und wieder.
In der Regel konnte man mit der alten Weisheit antworten, seine Schlüssel selbst zu verwahren. Wer seine Coins keiner Börse anvertraut, ist nicht betroffen, wenn diese gehackt wird. Diese Weisheit wurde am vergangenen Wochenende hinfällig.
Zwar verlieren zuweilen Nutzer ihre Coins in eigenen Wallets. Das liegt in der Regel an Sicherheitslücken im eigenen System. Ein systematischer Hack von Wallets jedoch war bisher unbekannt.
Bis, wie gesagt, dem vergangenen Wochenende.
“Weniger als 1 Prozent der monatlich aktiven User”
Am Freitag, dem 2. Juni, berichteten User, Coins in der Atomic Wallet verloren zu haben. Einen Tag später bestätigte das Team von Atomic Wallet die Vorfälle, in der Nacht auf Montag erklärte es, dass weniger als ein Prozent der monatlich aktiven User betroffen seien. Man untersuche den Fall und melde die betroffenen Adressen bei Börsen und Analysten.
Wie viele aktive User Atomic Wallet im Monat hat, ist unbekannt. Laut Webseite „trauen“ fünf Millionen Menschen der Software, was vermutlich dieAnzahl der Downloads meint. Analysten, die den Hack untersuchen, zählen Verluste von mehr als 35 Millionen Dollar in zahlreichen Kryptowährungen: Bitcoin, Ether, Tron, BSC, Cardano, Ripple, Polkadot, Cosmos, Algo, Avax, Lumen, Litecoin und Stablecoins wie USDT. Einige User verzeichnen Verluste im Wert mehrerer Millionen Dollar.
Über die Ursache wird spekuliert, belastbare Informationen liegen nicht vor. So gibt es etwa Gerüchte über ein maliziöses Update, das beim Start der Wallet automatisch installiert wurde. Aus Sorge, dass die Software manipuliert ist, hat das Team von Atomic Wallet die Downloads ausgesetzt; um mehr über die Umstände herauszufinden, bittet es Betroffene, in einem Google-Dokument 20 Fragen zu beantworten.
Der Vorfall hat eine bittere Vorgeschichte. Bereits am 10. Februar 2022 warnte der Security-Analyst Least Authority vor Atomic Wallet. Der Dienstleister hatte im Frühjahr 2021 ein Audit der Wallet durchgeführt und dabei enorme Mängel gefunden: schlecht implementierte kryptographische Protokolle, schlampige Standards und Dokumentationen, veraltete Fremdpakete und mehr. Nachdem die Mängel auch 10 Monate später nicht ausgebügelt waren, warnte Least öffentlich davor, die Wallet zu benutzen. Was, wie man heute weiß, verhallte.
Einige Ratschläge …
Es bleibt also die frustrierende Erkenntnis, dass nicht nur Börsen und Smart Contracts, sondern auch Wallets gehackt werden können. Vertraut man seine Coins einer anderen Partei, riskiert man sie; verwahrt man sie selbst, riskiert man sie ebenfalls. Wie man es auch macht, ist es falsch.
Allerdings ist die Atomic Wallet aus zwei Gründen ein Sonderfall. Erstens unterstützt sie mehr als 300 Coins und Token, erlaubt es, diese mit Kreditkarte zu kaufen, sie gegeneinander zu wechseln und viele davon zu staken. Die Wallet ist wie der Thermomix unter den Wallets: ein Werkzeug, das alles kann. Das geht selten gut.
Die zweite Besonderheit ist, dass der Code nicht vollständig Open Source ist. Viele Teile, wie die Libraries und Softwarepakete, sind natürlich Open Source. Doch die Implementierung ist es zu weiten Teilen nicht. So bleiben Fehler oft lange unentdeckt.
Man sollte größere Summen Geld keiner Universal-Wallet anzuvertrauen, schon gar nicht, wenn der Code nicht vollständig Open Source ist. Es gibt eine Vielzahl von langjährig zuverlässigen Alternativen.
Man sollte als User der Wallet nun nicht in Panik gerate. Ladet kein Update herunter, öffnet die Atomic Wallet nicht! Importiert stattdessen den Seed mit einer anderen, zuverlässigen Wallet, und überweist die Coins von dort aus auf eine andere Adresse. Diese solltet ihr mit einer dritten Wallet bilden, für den Fall, dass der Seed kompromittiert ist.
Auf gar keinen Fall sollte man, wenn man Coins verloren hat, Leuten glauben, die behaupten, sie für euch bergen zu können. Das sind Betrüger, die wollen, dass ihr dem guten Geld noch schlechtes hinterherwerft.
Open Source alleine ist noch kein Heilsbringer, siehe IOTA vor Jahren, als sie ihre Wallet mit hunderten Abhängigkeiten von externen Libraries gebaut haben und eine von ihnen – die nicht mehr aktiv maintained wurde – unterwandert wurde. Man sollte also die Abhängigkeiten von anderen Projekten und deren Einfluss auf den eigenen Code sehr gut überlegen, egal ob FOSS oder closed source. Letzeren würde ich meine Coins oder auch die eigene Sicherheit nicht anvertrauen, vielleicht ein bisschen Spielgeld oder öffentliche Nachrichten wie diese hier…
Die meisten Projekte benötigen Libraries wie OpenSSL, diese sind aber seit Jahren kampferprobt und so stark im Einsatz, dass da mehr als 4 oder 100 Augen auf die Code Changes schauen, sodass eine Kompromittierung fast ausgeschlossen ist. Irgendwelche neuen fancy JS-Libraries einzubauen, um das Frontend schöner zu machen, ist bestenfalls töricht, sogar mutwillig, wenn es sich um einen erfahrenen Entwickler handelt.
Wer größere Mengen an Coins verwahren will, nutzt am besten Paper Wallets oder jeweils die offiziellen Open Source Wallets, wenn mehrere auf einem System, dann zumindest sauber getrennt mit z.B. Qubes OS. Wer sich das selbst nicht zumutet, dem kann ich ggf. Consulting anbieten, per Videochat, ohne Desktopzugriff oder ähnliches.
Hatte dort auch Coin aber gerade alles weg transferiert. Zum Glück war bei meiner Atomicwallet nichts abhanden gekommen. Meine lief unter Opensuse, fand daher die Atomicwallet super das diese auch unter Linux genutzt werden konnte und man viele Coins mit einer Wallet verwalten konnte. Das meiste hab ich in BTC umgewandelt und auf meine Electrum Wallets verteilt.